Исследователи из Comodo Threat Research Lab сообщили о новой спам-кампании, направленной на сотрудников и клиентов различных предприятий. Злоумышленники рассылают вредоносные письма, замаскированные под уведомления Facebook о получении голосового сообщения. Адрес и имя отправителя заставляют думать, будто письмо получено от соцсети, однако домен, откуда оно отправлено, в реальности не имеет к Facebook никакого отношения.
Для обхода спам-фильтров в теме уведомления указываются случайные символы (например, “Доставлено новое голосовое сообщение Lucqmc”). В прикрепленном к письму файле содержится вариант трояна Nivdort, предназначенный для похищения информации. После установки вредонос копирует себя в директорию C:\ и добавляет в реестр Windows, благодаря чему может запускаться после каждого включения или перезагрузки компьютера.
Модифицируя файл hosts, троян пытается закрыть жертве доступ к сайтам поставщиков антивирусных продуктов. Путем внесения изменений в реестр Nivdort деактивирует сообщения о подозрительной активности из Центра уведомлений Windows. В начале текущего месяца эксперты Comodo Threat Research Lab зафиксировали аналогичную кампанию, направленную на пользователей WhatsApp. По мнению экспертов, за обе операции ответственна одна и та же группировка. (Comodo/NovostIT)